Tim Rains ist seit einigen Monaten als Director Security für das weltweite Marketing von Microsofts Security- und Identity-Produkten sowie -themen verantwortlich und betreut federführend den halbjährlich erscheinenden "Security Intelligence Report". Davor war er in verschiedenen anderen Positionen bei Microsoft tätig, unter anderem als Chief Security Advisor bei der Microsoft Trustworthy Computing Group, wo er Unternehmen bei der Entwicklung ihrer Security-Strategie unterstützte.
Foto: Nam Ng / Microsoft
Michael Kranawetter arbeitet schon seit vielen Jahren als National Security Officer und Head of Information Security bei Microsoft Deutschland und ist bei den deutschen Microsoft-Kunden sowie -Partnern erster Ansprechpartner für alles rund um IT-Security, Risiko-Management und Datenschutz. Darüber hinaus ist er auch bei Nicht-Microsoft-Kunden ein über die Maßen anerkannter Security-Experte.
Wir haben mit den beiden über die Ergebnisse des jüngsten "Security Intelligence Report", aktuelle und künftige Security-Trends sowie den Wandel der Bedeutung des Themas IT-Sicherheit in deutschen und internationalen Unternehmen gesprochen.
CW: Herr Rains, Sie sind seit diesem Jahr für den Microsoft Security Intelligence Report, kurz SIR, verantwortlich. Welche Ergebnisse des neuen Reports haben Sie überrascht?
RAINS: Persönlich hat mich die Entwicklung im Bereich Ransomware überrascht. Alle berichten darüber, alle machen sich Gedanken. Schauen wir uns aber die Fakten an, die wir über die Verbreitung von Ransomware gesammelt haben, stellen wir fest, dass es bei weitem nicht so verbreitet ist, wie man erwarten könnte. Es handelt sich sogar um den am wenigsten verbreiteten Angriffsvektor unter allen Arten von Malware in den letzten Jahren - gerade einmal durchschnittlich 0,4 Prozent aller Systeme waren im zweiten Halbjahr 2015 von Ransomware betroffen.
Der Unterschied ist eben, dass die Auswirkungen so schwerwiegend sind. Reden wir über Risiko-Management, reden wir über eine Kombination aus Auswirkungen und Wahrscheinlichkeiten. In diesem Sinne ist Ransomware ein zwar unwahrscheinliches Risiko, das aber sehr schlimme Folgen hat, wenn es doch real wird, weil man sich nicht gewappnet hat.
- Das hilft gegen Ransomware-Angriffe
Die kriminelle Hackerszene ist ständig auf der Suche nach neuen Wegen, Unternehmen und Privatpersonen zu schaden. Der Einsatz von Malware zu Erpressungszwecken - sogenannte Ransomware - wird unter Cyberkriminellen immer beliebter. Wir zeigen Ihnen, was Sie gegen Ransomware-Hacker tun können. In Kooperation mit Check Point Software Technologies zeigen wir Ihnen, welche Mittel Sie gegen Ransomware-Angriffe ergreifen können. - Software-Update
Viel zu oft werden bekannte Schwachstellen in gängigen Apps nicht repariert, obwohl Patches zur Verfügung stehen. - Backup
Regelmäßige Sicherung der wichtigsten Daten in einem Speichermedium, das normalerweise physisch isoliert ist. - Aktueller Endpunkt-Schutz
Es ist schon eine große Herausforderung, sich vor den neuesten und raffiniertesten Bedrohungen zu schützen; Man möchte sich aber sicher nicht der Gefahr aussetzen, von Ransomware getroffen zu werden, die schon seit Jahren bekannt ist. - Intrusion Prevention System
Nutzung einer IPS-Lösung mit aktuellen Signaturen, die in der Lage ist, die Inhalte von HTTPS-Traffic zu überwachen. Eine leistungsfähige IPS-Lösung kann die Web-Transaktionen unterbrechen, die für das Funktionieren eines Exploit-Kits erforderlich sind. - Datei- und Dokumenten-Analyse
Analyse von eingehenden Dokumenten und Programmdateien, bevor diese Zugang zum Netzwerk erhalten - Sandboxing, Verhaltensanalysen, Firewalls, selbst einfache Antivirus-Scans sind wichtig. Und was, wenn es schon zu spät ist und die Ransomware das Netzwerk befallen hat? - Sample-Extraktion
Falls möglich, sollte ein Sample, das die Rechner infiziert hat, gesichert und mit Open-Source Intelligence Pools, wie VirusTotal, verglichen werden. Es gilt dabei herauszufinden, ob es sich um eine bekannte Bedrohung handelt. Man muss möglichst viel über die Vorgehensweise, das Verschlüsselungsschema und das Finanzmodell der Malware in Erfahrung bringen. - Netzwerkprotokolle wiederherstellen
Die Kommunikation der Malware aus allen Netzwerkprotokollen, die überlebt haben könnten, sollte man wiederherstellen, soweit dies möglich ist. Dort könnte irgendwo der Schlüssel stecken. - Verschlüsselungsanalyse
Analyse der verschlüsselten Dateien, um erkennen zu können, ob schwache oder starke Verschlüsselung verwendet wurde. Wurde eine schwache Verschlüsselung verwendet, ist es vielleicht möglich, sie zu knacken und die Dateien wiederherzustellen.
Erpresser-Services
CW: Wie groß ist das Ransomware-Problem im internationalen Vergleich?
RAINS: Ransomware ist zwar ein weltweites Phänomen, es gibt aber Regionen, die stärker betroffen sind als andere. So lag die Infektionsrate mit Ransomware in den Vereinigten Arabischen Emiraten im dritten Quartal 2015 bei fast drei Prozent - und damit um ein vielfaches über dem weltweiten Durchschnitt von 0,4 Prozent. Mit rund einem Prozent infizierter Systeme ebenfalls etwas stärker betroffen sind englischsprachige Länder wie Kanada und die USA.
CW: Herr Kranawetter, wie verhält es sich in Deutschland?
MICHAEL KRANAWETTER: Ransomware erfährt auch hierzulande eine große Aufmerksamkeit, weil sie im Gegensatz zu anderen Arten von Malware schwerwiegende Folgen mitbringt. Betroffene Anwender kommen nicht mehr an ihre wichtigen Daten - weil sie es aber müssen, zahlen sie nicht selten das Lösegeld, das macht es zu einem lohnenden Geschäftsmodell für die Angreifer. Wir hatten ja beispielsweise bereits die aufsehenerregenden Fälle, dass deutsche Krankenhäuser Opfer von Ransomware wurden. Die Zahlen hatte Tim ja bereits genannt - tatsächlich sind es sehr wenige Fälle, auch wenn die Tendenz zunehmend ist.
CW: Wie wird sich die Ransomware weiterentwickeln?
RAINS: Sie wird sich weiter verbreiten, was vor allem mit dem Aufkommen von "Ransomware as a Service" zusammenhängt. Technisch versierte Entwickler, die sich mit Festplattenverschlüsselung auskennen, stellen Ransomware-Kits her und stellen diese weniger versierten Cyberkriminellen leihweise zur Verfügung. Vergleichbar ist das Ganze mit den Geschäften mit Exploit Kits und Drive-by-Download-Angriffen in den vergangenen Monaten - wie beispielsweise dem Angler- oder dem Blackhole-Exploit-Kit. Es wird immer einfacher, Cyberangriffe zu starten - also wird ihre Zahl weiter zunehmen.
Darüber hinaus erwarte ich, dass der Anteil von Ransomware in gezielten Angriffen steigt. Wurde das Ziel erst einmal kompromittiert, machen sich die Angreifer auf die Suche nach sensiblen und wertvollen Daten, die sie dann verschlüsseln und erst gegen Zahlung wieder freigeben. Das betrifft auch eventuell vorhandene Backups dieser Daten, damit die Erpressung gelingen kann.
CW: Was können Unternehmen dagegen tun?
RAINS: Das Gute ist, dass es recht einfach ist, sich gegen Ransomware zu schützen. Das beste Mittel sind Backups - Unternehmen sollten sicherstellen, dass sie immer ein aktuelles, getestetes Backup ihrer wichtigsten Daten zur Hand haben. Wichtig zu wissen ist aber, dass Malware all das kann, was der Nutzer auch kann - hat der Nutzer also ständigen Zugang zu den Backups, hat auch die Malware die Möglichkeit, die Backups anzugreifen. Die Backups sollten deshalb offline aufbewahrt werden.
Im folgenden Video fasst Tim Rains seine Aussagen zum Thema Ransomware (und auch zum in diesem Interview noch folgenden Thema "Security und Künstliche Intelligenz") noch einmal kurz zusammen:
Löcherige Anwendungen allerorten
CW: Welches Ergebnis des SIR hat sie sonst noch überrascht?
RAINS: Die Zahl der veröffentlichten Sicherheitslücken ist im zweiten Halbjahr 2015 deutlich gestiegen - um fast zehn Prozent im Vergleich zum Vorjahr. Wir sprechen da mittlerweile von rund 5000 bis 6000 neuen Sicherheitslücken pro Jahr. Mir ist sehr daran gelegen, immer wieder auf diese neuen Schwachstellen hinzuweisen, weil die Anwender selbst aktiv werden müssen, um ihre Software zu patchen.
Und das betrifft nicht nur Microsoft-Produkte. Es geht in bis zu 80 Prozent der Fälle um einzelne Anwendungen und nicht um Betriebssysteme oder Webbrowser - also genau nicht um die Software, die die meisten Unternehmen sowieso regelmäßig updaten. Sorgen macht, dass gerade die Zahl der schweren Sicherheitslücken deutlich zunimmt - also solcher, über die Angreifer beispielsweise aus der Ferne Schadcode ausführen können.
- Mangelhafte Code-Qualität
Probleme mit der Qualität des Codes stehen nicht ohne Grund auf Platz 1 dieser Liste. In einer Studie zur Softwaresicherheit in Unternehmen hat der Security-Anbieter Veracode festgestellt, dass bei mehr als der Hälfte aller getesteten Anwendungen die Code-Qualität ungenügend ist. Dieses Ergebnis ist erschreckend – und gleichzeitig ein Aufruf an alle Branchen, sichere Coding-Verfahren einzusetzen. Denn je später eine mangelhafte Qualität des Quellcodes festgestellt wird, umso aufwändiger wird es, sie zu verbessern – und umso länger ist die Anwendung angreifbar. - Kryptographische Probleme
Sobald es darum geht, wichtige Informationen, wie Passwörter, Zahlungsinformationen oder persönliche Daten zu speichern oder weiterzugeben, kann man davon ausgehen, dass dies auf die eine oder andere Weise auf verschlüsseltem Wege geschieht – damit diese widerstandsfähig gegen Manipulation und unbefugtes Lesen sind. 87 Prozent der Android Apps und 80 Prozent der iOS Apps haben mit Verschlüsselungsproblemen zu kämpfen. Deshalb sind sie ein so beliebtes Ziel für Hacker. - CRLF Injections
Grundsätzlich sind CRLF Injections eine Art Tor zu größeren Angriffen. Durch das Injizieren einer CRLF-Zeichensequenz (=Zeilenumbruch) an einer unerwarteten Stelle können Angreifer Anwendungsdaten ändern und die Ausnutzung von Schwachstellen ermöglichen. Darunter fallen Website-Defacement, Cross-Site Scripting, Hijacking des Webbrowsers und viele weitere. Gerade Android- und Java-basierte Anwendungen sind hiervon betroffen. Sie weisen zu 79 Prozent (Android) und zu 75 Prozent (Java) CRLF Injections auf. - Cross-Site-Scripting
Eine weitere Attacke ist das Cross-Site-Scripting (auch als XSS bekannt). Sie tritt dann auf, wenn Angreifer Bereiche einer Website missbrauchen, die rund um dynamischen Content gebaut sind, Codes ausführen, die Nutzerkonten übernehmen oder Webbrowser fernsteuern. Cross-Site Scripting wird vor allem bei Formularen ein Problem, die ein gemeinsames Kodierungssystem mit der Eingabe von Fragezeichen und Schrägstrichen erlauben.<br /><br />Anwendungen, die in Web-Skriptsprachen geschrieben wurden, sind häufiger von Schwachstellen wie Cross-Site Scripting oder SQL Injections betroffen als Anwendungen basierend auf .NET oder Java. So beinhalten 86 Prozent der PHP-basierten Anwendungen mindestens eine Cross-Site-Scripting-Schwachstelle und 56 Prozent mindestens eine SQL Injection. - SQL Injections
Obwohl sich SQL Injections auf dieser Liste weiter unten befinden, sind sie aufgrund ihrer leichten Ausführbarkeit doch eine der häufigsten, auftretenden Sicherheitslücken. Angreifer platzieren SQL-Abfragen in entsprechende Eingabebereiche und versuchen so, über die Anwendung, die den Zugriff auf die Datenbank bereitstellt, eigene Befehle einzuschleusen. Dadurch ist es Angreifern möglich, Informationen einzusehen, Daten zu verändern und sogar zu löschen sowie die Kontrolle über den Server vollständig zu übernehmen. - Directory Traversals
Directory Traversals sind beängstigend, da weder viel Wissen noch Werkzeuge nötig sind, um damit großen Schaden anzurichten. Im Prinzip kann jeder mit einem Webbrowser und Hacking-Grundkenntnissen durch die Manipulation von Pfadangaben ungeschützte Seiten hacken, so Zugang zu größeren Dateisystemen erlangen und dort nützliche Informationen wie Passwörter, kritische Dateien oder sogar Seiten- und Anwendungsquellcodes abgreifen. Gemessen an den gängigsten Programmiersprachen sind 47 Prozent aller Anwendungen von Directory Traversals betroffen. - Unzureichende Datenvalidierung
Simpel gesprochen lässt sich sämtlicher Input, den Anwender im System abspeichern, kontrollieren und verwalten, unter der Voraussetzung, dass die Daten, die in das eigene Netzwerk kommen, entsprechend validiert und "sterilisiert" werden. Ist dies nicht der Fall, entstehen eine Reihe an Sicherheitsrisiken, die bösartigen Angreifern unter anderem ermöglichen, Daten auszulesen und zu stehlen sowie Sitzungen und Browser-Aktivitäten fremdzusteuern.
CW: Ein weiteres wichtiges Thema des Reports ist der Angriff auf Passwörter. Welche Trends sehen Sie in diesem Bereich?
RAINS: Es ist für Kriminelle einfach geworden, umfangreiche Listen mit Nutzernamen und Passwörtern zu erstellen, die beispielsweise im Zuge eines Datenlecks öffentlich wurden. Diese Listen werden dann bei Finanzdienstleistern, Internet-Service- oder E-Mail-Providern ausgetestet, ob die bekannten Nutzername-Passwort-Kombinationen irgendwo funktionieren und den Zugriff auf bestimmte Dienste ermöglichen.
CW: Inwieweit trägt Microsoft dazu bei, diese Entwicklung einzuschränken?
RAINS: Wir schauen uns solche Passwortlisten an und arbeiten Abwehrmaßnahmen für entsprechende Angriffe aus. So haben wir unter anderem ein Identitätssystem aufgebaut, um das Risiko eines Passwortdiebstahls und -missbrauchs einzudämmen. Für unsere Consumer-Services wie Outlook.com oder Xbox Live, in die sich die Nutzer über ihren privaten Microsoft-Account einloggen, erhalten wir bei den Hunderten von Millionen bestehenden Konten täglich rund 30 Milliarden Login-Anfragen. Im Unternehmensbereich haben wir beispielsweise unser Azure Active Directory mit 8,24 Millionen Mandanten, über deren 550 Millionen Nutzerzugänge jeden Tag rund 1,3 Milliarden Authentifizierungsanfragen erzeugt werden. Wir überwachen alle diese Logins und halten Ausschau nach schadhaften Vorgängen, indem wir Machine Learning einsetzen.
Das bringt auch Vorteile für den Datenschutz, weil keine Menschen an der Prüfung der Login-Vorgänge beteiligt sind. Die Kombination aus den angesprochenen Authentifizierungsinformationen und den Daten unserer Digital Crime Unit, die sich gemeinsam mit den US-Strafverfolgungsbehörden, Forschungseinrichtungen und Sicherheitsanbietern um die Entdeckung und Abschaltung von Botnetzen kümmert, hilft uns dabei, herauszufinden, wo die Kriminellen herkommen und wie sie arbeiten. So schaffen wir es, jeden Tag zehn Millionen Passwort-Angriffe zu blockieren.
Wie KI und ML die Sicherheit verbessern
CW: Wie funktioniert das Machine Learning genau?
RAINS: Das System schaut sich an, von wo die Logins erfolgen. Die Algorithmen prüfen zunächst, ob die eingegebenen Daten gültig sind und wenn ja, ob die Wahrscheinlichkeit, dass es sich auch um den rechtmäßigen Nutzer handelt, groß genug ist, dass der Zugang ermöglicht werden kann. Zum einen erfolgt dazu ein Abgleich mit den IP-Adressen der uns bekannten Botnetze. Wenn eine gültige Nutzername-Passwort-Kombination eingegeben wird, dieser Zugriff aber von einer bekannten Botnetz-IP aus erfolgt, handelt es sich wahrscheinlich nicht um einen rechtmäßigen Anwender. In solch einem Fall fordern wir dann eine Mehrfaktor-Authentifizierung ein - der Nutzer muss also mit einem zweiten Faktoren, zumeist einem Smartphone oder bei manchen unserer Kunden auch einer Anruflampe im Büro - nachweisen, dass er rechtmäßig Zugriff auf das System besitzt.
Zum anderen haben wir das Szenario "unmögliches Reisen" - loggt sich jemand beispielsweise von München aus ein und nur zehn Minuten später von Montreal aus, ist das ein klares Zeichen dafür, dass es sich hier nicht um einen rechtmäßigen Login-Vorgang handelt. Solch ein Nutzer wird entweder geblockt oder das System entscheidet, dass hier ein zweiter Faktor zur Authentifizierung benötigt wird. Absolute Sicherheit zu gewähren, ist stets eine Herausforderung. Ein großer Teil der Passwort-Angriffe lässt sich aber verhindern.
- Multi-Faktor-Authentifizierung in der Praxis
Server-Manager: RDS Deployment nach Installation aller Rollen. - Multi-Faktor-Authentifizierung in der Praxis
Server-Manager: Installation der Zertifikate. - Multi-Faktor-Authentifizierung in der Praxis
Azure Portal: Erstellen eines Anbieters für Multi Factor Authentication. - Multi-Faktor-Authentifizierung in der Praxis
Azure Portal: Startseite zur Konfiguration des MFA Service. - Multi-Faktor-Authentifizierung in der Praxis
RD Gateway: Umstellung der Authentifizierung auf einen zentralen NPS. - Multi-Faktor-Authentifizierung in der Praxis
RD Gateway: RADIUS Konfiguration in der Konsole des NPS. - Multi-Faktor-Authentifizierung in der Praxis
MFA Server: Einrichtung des Synchronisierungsjobs. - Multi-Faktor-Authentifizierung in der Praxis
Outlook: Willkomms-E-Mail mit Start PIN. - Multi-Faktor-Authentifizierung in der Praxis
MFA User Portal: Startseite nach dem Login eines Benutzers. - Multi-Faktor-Authentifizierung in der Praxis
RD Webaccess: Initiierung einer Remote Desktop Verbindung. - Multi-Faktor-Authentifizierung in der Praxis
Smartphone: Mobile App zur Authentifizierung (Hinweis zur Authentifizierung kommt als Push Nachricht aufs Handy). - Multi-Faktor-Authentifizierung in der Praxis
Smartphone: Eine weitere Möglichkeit der Authentifizierung ist ein Anruf durch den MFA Service. - Multi-Faktor-Authentifizierung in der Praxis
Smartphone: Eine weitere Möglichkeit stellt die Authentifizierung über Kurznachrichten dar. - Multi-Faktor-Authentifizierung in der Praxis
RD Webaccess: Nach der Bestätigung von 11, 12 oder 13 wird die Verbindung zum Remote Desktop Sitzungshost aufgebaut.
CW: Inwiefern werden Machine Learning und Künstliche Intelligenz die Möglichkeiten der IT-Security allgemein erweitern?
RAINS: Wir sind große Befürworter davon, Machine Learning in einem Security-Kontext einzusetzen. Wenn wir uns die aktuellen Abwehrmaßnahmen anschauen, ergibt das Sinn. Unternehmen investierten früher in Firewalls und Antivirus-Software, um sich zu schützen und es erst gar nicht zu einer Kompromittierung kommen zu lassen. Dieses Perimeterkonzept ist mittlerweile überholt; Sicherheitskonzepte, die früher einzig "Schutz und Wiederherstellung" lauteten, gehen zunehmend in die Richtung "Schutz, Erkennung und Reaktion".
Wenn ein Unternehmen heute kompromittiert wird, dauert es im Durchschnitt noch mehr als 240 Tage, bis der Angriff erkannt wird - das Ziel ist es, diese Zeitspanne so weit wie möglich zu verkürzen. Dabei helfen unter anderem Systeme für Security Incident und Event Management, die Log- und Sensordaten auswerten, um mögliche Angriffe frühzeitig zu erkennen. Dieser Ansatz ist sinnvoll, hilft aber nur im eigenen Netz - es lassen sich keine Aussagen drüber treffen, wie gefährdet bestimmte Branchen, geografische Regionen oder Gruppen ausgewählter Partner sind.
Deshalb kommen zunehmend auch Threat-Intelligence-Systeme zum Einsatz, die unternehmensübergreifend Daten einsammeln. Um diese großen Datenmengen auswerten zu können, braucht es Computer, die die Daten in Echtzeit analysieren können - der Zeit- und Personalaufwand wäre für menschliche Experten viel zu groß, zumal wir sowieso einen Mangel an Security-Spezialisten haben. Wenn ich mit CISOs spreche, wird mir immer wieder bestätigt, dass die Auswertung von Security-Daten anders nicht möglich wäre.
- Apache Spark MLlib
Früher als Teil des Hadoop-Universums bekannt, ist Apache Spark mittlerweile ein bekanntes Machine-Learning-Framework. Sein umfangreiches Angebot an Algorithmen wird ständig überarbeitet und erweitert. - Apache Singa
Singa, seit kurzem Teil des Apache Incubator, ist ein Open-Source-Framework, das Deep-Learning-Mechanismen auf große Datenvolumen hin „trainieren“ soll. Singa stellt ein simples Programmierungsmodell für Deep-Learning-Netzwerke bereit und unterstützt dabei diverse Entwicklungsroutinen. - Caffe
Caffe umfasst ein ganzes Set von frei verfügbaren Referenzmodellen für gängige Klassifizierungsroutinen; die gewachsene Caffe-Community steuert weitere Modelle bei. Caffe unterstützt die Nvidia-Programmiertechnik CUDA, mit der Programmteile wahlweise auch durch den Grafikprozessor (GPU) abgearbeitet werden können. - Microsoft Azure ML Studio
Weil die Cloud also die ideale Umgebung für ML-Anwendungen darstellt, hat Microsoft seine Azure-Cloud mit einem eigenen ML-Service auf der Basis von „pay as you go“ ausgestattet: Mit Azure ML Studio können Nutzer KI-Modelle entwickeln und trainieren und anschließend in APIs umwandeln, um diese wiederum Anderen zur Verfügung zur stellen. - Amazon Machine Learning
Amazon Machine Learning arbeitet mit Daten, die in einer Amazon-Cloud wie S3, Redshift oder RDS liegen und kann mithilfe binärer Klassifizierungen und Multiklassen-Kategorisierung von vorgegebenen Daten neue KI-Modelle bauen. - Microsoft DMTK
Das DMTK (Distributed Machine Learning Toolkit) von Microsoft soll ML-Anwendungen über mehrere Maschinen hinweg skalieren. Es ist eher als "Out of the Box"-Lösung gedacht und weniger als Framework - entsprechend gering ist die Anzahl der unterstützten Algorithmen. - Google TensorFlow
TensorFlow basiert auf sogenannten Data-Flow-Graphen, in denen Bündel von Daten („Tensors“) durch eine Reihe von Algorithmen verarbeitet werden, die durch einen Graph beschrieben sind. Die Bewegungsmuster der Daten innerhalb des Systems heißen „Flows“. Die Graphen lassen sich mittels C++ und Python zusammenbauen und via CPU oder GPU verarbeiten. - Microsoft CNTK
Das Microsoft Computational Network Toolkit funktioniert ähnlich wie Google TensorFlow: Neuronale Netze lassen sich durch gerichtete Graphen erzeugen. Microsofts eigener Beschreibung zufolge lässt sich CNTK außerdem mit Projekten wie Caffe, Theano und Torch vergleichen – sei aber schneller und könne im Gegensatz zu den genannten gar parallel auf Prozessor- und Grafikprozessorleistung zugreifen. - Samsung Veles
Das Samsung-Framework ist dazu gedacht, Datensätze zu analysieren und automatisch zu normalisieren, bevor sie in den Produktivbetrieb übergehen – was wiederum durch eine eigene API namens REST sofort möglich ist – vorausgesetzt, die eingesetzte Hardware hat genügend Power. Der Python-Einsatz in Veles umfasst auch ein eigenes Analyse- und Visualisierungstool namens Jupyter (früher IPython) für die Darstellung einzelner Anwendungs-Cluster. - Brainstorm
Brainstorm setzt auf Python, um zwei Data-Management-APIs („Handers“ genannt) bereitzustellen – eine für CPU-Prozessing durch die Bibliothek „Numpy“ und eine für GPU-Verarbeitung via CUDA. Eine benutzerfreundliche GUI ist in Arbeit. - mlpack 2
Die neue Version der in C++ geschriebenen Machine-Learning-Bibliothek mlpack, die erstmals im Jahr 2011 erschien, bringt eine Menge Neuerungen mit – darunter neue Algorithmen und überarbeitete alte. - Marvin
Der Quellcode von Marvin ist sehr übersichtlich - die enthaltenen vortrainierten Modelle (siehe Bild) ermöglichen aber bereits eine umfangreiche Weiterentwicklung. - Neon
Neon von NervanaSystems ist ein Open-Source-Framework, das auf ein- und abschaltbaren Modulen basiert und KI-Prozesse via CPU, GPU oder Nervanas eigener Hardware ermöglicht.
IT-Sicherheit als Vorstandsthema
CW: Der CISO - Chief Information Security Officer - ist ein gutes Stichwort. Wie stellt sich die Situation der IT-Sicherheits-Verantwortlichen in Deutschland dar? Mit wem aus den Unternehmen sprechen Sie, Herr Kranawetter?
KRANAWETTER: Ich bin jetzt seit fast neun Jahren als Microsofts Security-Berater im deutschen Markt unterwegs. Als ich angefangen habe, "leisteten" sich nur die großen Konzerne einen CISO beziehungsweise jemanden, der sich explizit um IT-Security-Themen kümmerte. In den vergangenen Jahren hat sich das geändert - die Unternehmen entwickeln zunehmend das Bewusstsein, dass IT-Security ein Teil des Risiko-Managements ist, um den man sich kümmern muss. Rechtliche Anforderungen des Datenschutzes und Compliance-Regelungen spielen da genauso mit hinein wie die mediale Berichterstattung über Security-Vorfälle - das führt dazu, dass zunehmend in IT-Sicherheit und IT-Sicherheitsexperten investiert wird.
Wenn ich heute mit Unternehmen spreche, dann zum einen natürlich immer noch mit den CISOs beziehungsweise IT-Security-Verantwortlichen eben genau über die Themen, die Tim eben angesprochen hat - um neue Erkennungs- und Analysemechanismen. Zum anderen spreche ich aber immer häufiger auch mit CIOs und CEOs oder anderen C-Level-Vertretern, die qua Amt Geschäfts- und Risikoentscheidungen treffen müssen, auch im Bereich IT-Security. Ihnen stehe ich dann mit meinem Fachwissen beratend zur Seite. Ich decke mittlerweile also die gesamte Entscheiderebene im Unternehmen ab.
Wichtig zu wissen ist noch, dass sich ja auch noch mehr Funktionen in diesem Dunstkreis wiederfinden: der Chief Security Officer, der sich mehr um Themen wie Brandschutz oder Gebäudesicherheit kümmert, der Chief Risk Officer, der ganz gezielt das Risiko-Management betreut, oder der Chief Compliance Officer, der für die Durchsetzung der Policies verantwortlich ist - derartige Aufgaben sind definitiv nicht innerhalb der IT angesiedelt, sondern darüber. Einzig, wenn es um den sicheren IT-Betrieb geht, ist das noch etwas anders.
- Glauben Sie ...
... an die Möglichkeit, ihre Systeme gründlichst verteidigen zu können und versuchen Sie daher, alles dafür zu tun, alle Bereiche des Unternehmens jeden Tag ein bisschen besser zu schützen? - Schauen Sie ...
... sich nach neuen Instrumenten um, die Funktionsumfang und -tiefe der bestehenden Security-Werkzeuge verbessern? - Überwachen Sie ...
... alle Sensoren Ihres Netzes - sowohl visuell als auch mit technischen Mitteln? - Suchen Sie ...
... kontinuierlich nach neuen Wegen, um Sensordaten besser zu untersuchen und zueinander in Beziehung setzen zu können? - Widmen Sie ...
... der Sicherheit Ihrer geschäftskritischen Anwendungen samt der dort verarbeiteten vertraulichen Daten erhöhte Aufmerksamkeit? - Versuchen Sie ...
... Tag für Tag, Ihr Business besser zu verstehen, damit Sie die IT-Risikoanalyse dem anpassen und stetig verbessern können? - Behalten Sie ...
... Ihre Zulieferer im Blick, damit der Zugriff von Dritten auf vertrauliche und sensible Daten kontrolliert werden kann? - Arbeiten Sie ...
... eng mit den Geschäftsentscheidern zusammen, um die Aufmerksamkeit für das Thema IT-Sicherheit konstant hoch zu halten und über das gesamte Unternehmen hinweg eine Awareness zu erzeugen? - Bewegen Sie ...
... sich in neuen Geschäftsfeldern, in denen disruptive Technologien zum Einsatz kommen und in denen Sie Ihr Security-Wirken schon entfalten können, bevor es richtig ernst wird? - Verlieren Sie ...
... nie die Security-Grundlagen aus den Augen - wie beispielsweise das regelmäßige Patchen?
CW: Ist die internationale Entwicklung vergleichbar mit der in Deutschland?
RAINS: Besonders in den vergangenen beiden Jahren ist da Bewegung hineingekommen. Vorher war die Verantwortung für Security eingebettet in die IT-Abteilungen. Mittlerweile berichten IT-Security-Verantwortliche immer häufiger direkt an die Vorstände, an den CIO oder in kleineren Unternehmen den CFO. IT-Sicherheit ist zum Vorstandsthema geworden - fast alle Vorstände, mit denen ich mich unterhalte, setzen es regelmäßig auf die Agenda ihrer Sitzungen. Viele bilden derzeit auch spezielle Risk Councils - also Arbeitsgruppen, die sich auf Vorstandsebene mit den Risiko-Management- und IT-Security-Themen gezielt auseinandersetzen. Wer vor zwei Jahren noch keinen CISO respektive IT-Security-Manager hatte, hat spätestens jetzt jemanden für diese Themen.
CW: Welche Rolle spielen die gestiegenen gesetzlichen Anforderungen?
KRANAWETTER: Ich halte es für eine positive Entwicklung. Weil die Bedrohungslage allein manchmal nicht schmerzlich genug ist, helfen Gesetze und regulatorische Anforderungen wie beispielsweise das deutsche IT-Sicherheitsgesetz für die Betreiber kritischer Infrastrukturen ein wenig nach. Das kann aber nur der erste Schritt sein. Was die Zukunft angeht, werden auch andere Industrien noch mehr gefordert werden. Ich erwarte mehr granulare Regelungen - eine Basis mit Vorschriften, welche Systeme, Daten und Netze in jedem Fall abgesichert und geschützt sein müssen und einen darauf aufsetzenden auf dem Freiwilligkeitsprinzip basierenden Teil.
Was Michael Kranawetter zu den Themen CISO und gesetzliche Anforderungen zu sagen hat, fasst er in dem folgenden Video noch einmal kurz zusammen:
Security-Fragen rund um Windows 10
CW: Kommen wir abschließend noch auf das Microsoft-Thema, das Unternehmen derzeit wohl am stärksten umtreibt - Windows 10. Wie stark ist die Plattform in deutschen Unternehmen schon verbreitet?
KRANAWETTER: Viele Unternehmen schauen es sich an und planen derzeit ihre Migrationsprojekte - zumeist von Windows 7 aus. Da braucht es noch eine gewisse Zeit, weil die Umstellung deutlich komplexer ist als bei Privatanwendern, denen ein Upgrade aus unserer Sicht doch recht einfach fällt. Der Aufwand für eine Migration wird aber bald auch in den Unternehmen geringer werden, weil Features künftig schneller erneuert oder eingebaut werden können.
CW: Wie verbessert Windows 10 die Sicherheit im Unternehmen?
RAINS: Die Unternehmen werden zumeist auf vier Wegen angegriffen - über ungepatchte Sicherheitslücken, schwache Passwörter, falsch konfigurierte Systeme und Social Engineering. Mit Windows 10 gehen wir diese Einfallstore gezielter an als früher. Wir patchen systematisch mit Windows Update for Business, lösen das Passwort-Problem mit Windows Passport und dem biometrischen Authentifizierungssystem Windows Hello, das Passwörter überflüssig machen soll. Die Nutzer können sich mit ihren Fingerabdruck oder ihrem Gesicht anmelden, müssen sich ihre Login-Daten nicht mehr merken - das ist benutzerfreundlicher und auch sicherer, weil sie Betrügern nicht mehr ihr Passwort verraten können. Aus Sicht der IT-Sicherheit ist Windows 10 ein großer Schritt nach vorne.
Wie sich Unternehmen mit einer Windows- und Office-Infrastruktur am besten gegen IT-Sicherheitsrisiken schützen, erklärt Michael Kranawetter abschließend im folgenden Video: